开源压缩工具XZUtils被发现含有后门,由AndresFreund揭露并报告。10级严重漏洞影响了多个Linux发行版,提醒了开源社区对项目安全审查的重要性。
近期,开源社区中发生了一起严重的安全事件,涉及到广泛使用的Linux压缩工具XZUtils。该工具的维护者被发现在软件中植入了后门,这一行为震惊了整个开源界。幸运的是,这个被标记为严重程度10级的“核弹级漏洞”在未经广泛扩散之前就被微软的一位软件工程师Andres Freund发现并报告了。
Andres Freund在调试过程中注意到,他远程SSH登录的时间异常地比平时多出了500毫秒,并且SSH占用了大量CPU资源。他深入调查后发现,SSH在某些情况下对liblzma压缩库进行了系统调用,而这个库包含在他安装的Debian系统中的xz(XZUtils)工具中。在进一步的调查中,Freund发现,他使用的Debian的xz工具压缩包中存在后门代码,这些代码并不在该库的原始GitHub源代码中。
XZUtils是一个开源的数据压缩和解压缩工具集,提供了命令行工具,如xz、xzcat、xzdec等,能够在大多数操作系统上使用。在日常使用中,XZUtils通常与liblzma库一起使用,后者负责执行实际的压缩和解压缩操作。据悉,XZUtils的5.6.0和5.6.1版本中都含有恶意代码。
Andres Freund在发现这一问题后,向Debian Security和发行商渠道报告了这一问题。红帽公司随后将此问题作为CVE-2024-3094提交,严重程度为10。经过进一步的调查,发现这段恶意代码来自一位名为JiaTan的用户(JiaT75),他通过多次代码变更的方式,将恶意代码植入到了xz项目中。
这一事件引发了开源社区的广泛关注,因为它涉及到了开源项目维护者的可信度问题。XZ项目的首席维护者Lasse Collin在博客上进行了简短的回应,表示将对事件进行进一步的调查。目前,受影响的发行版包括Fedora Linux 40和Fedora Rawhide以及Debian的测试版、不稳定版和实验版。其他发行版如OpenSUSE、Kali Linux以及Arch Linux的某些虚拟机和容器镜像也受到了影响。
对于使用Linux系统的用户来说,这是一个严重的安全警告。建议所有用户检查自己的系统,确保没有使用受影响的XZUtils版本,并及时更新到安全的版本。同时,这一事件也提醒了开源社区,对于开源项目的维护和审查需要更加严格和谨慎,以防止类似的安全问题再次发生。
扫一扫
680
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
